SMB / CIFS共有を使用するためのドメインコンピューターでの非ドメインコンピューター認証
短編小説:私のホームサーバーの1つに「Profiles」という共有があり、ここにいる全員が独自のフォルダーを持っています(アクセスのみ可能)Windowsプロファイルを他のファイルにバックアップしたい他の個人ファイルと同期またはバックアップするために使用できます必要に応じて、コンピュータに即座にアクセスまたは同期できます。マルチTBディスク上にあるため、ユーザーはこの共有上の個人用フォルダーを自由に使用できます。
ただし、Windows XP Homeを実行しているため、ドメインのメンバーではないコンピューターがあります。これは私のコンピューターではないため、OSを変更することはできませんが、個人ファイル(または理想的にはドメイン上のすべての場所)をバックアップする目的で、このサーバーに保存されているSMB/CIFS共有にアクセスできます。ユーザーがアクティブに存在していても、ドメインで共有を使用しようとすると、認証は常に失敗します。非メンバーコンピューターのローカルユーザーのパスワードと一致する正しいパスワードを持つディレクトリ。
自宅でActiveDirectoryを使用する前は、「複数のコンピューターで同じパスワードを使用してユーザーを作成する」というトリックを使用して、ユーザーは他のコンピューターで透過的に認証できました。これは、ActiveDirectoryの到着以降は機能しなくなりました。
また、サーバーコンピューターの名前、ドメインNetBIOS名、ユーザー名の前のドメインDNS名など、さまざまなコンピューターを「\」として指定する「別のユーザーとしてログイン」を使用しながら、共有をドライブ文字としてマッピングしようとしましたが、作業。
ドメインにはNTLMv2のみを使用するポリシーが設定されていたことが判明しました(より強力なセキュリティが期待されます)。そのうちのWindows XPはデフォルトでは使用されません。次のレジストリ変更を行う必要がありました。 NTLMv2を使用する非会員のコンピューター。WindowsXPのホームエディションであるため、この変更を行うためのローカルセキュリティポリシーは利用できません。
レジストリパス:HKLM\System\CurrentControlSet\Control\Lsa設定名:LmCompatibilityLevel
デフォルト値:(クライアントはLMおよびNTLM認証を使用しますが、NTLMv2セッションセキュリティを使用することはありません。ドメインコントローラーはLMを受け入れます。 NTLM、およびNTLMv2認証。)
必要な値:5(クライアントはNTLMv2認証のみを使用し、サーバーがサポートしている場合はNTLMv2セッションセキュリティを使用します。ドメインコントローラーLMおよびNTLM認証応答を拒否しますが、NTLMv2を受け入れます。)
非メンバーコンピューターは、従来の「同じパスワードでドメイン上に同じローカルユーザーを作成する」トリックを使用して、ドメイン上のSMB/CIFS共有に即座にアクセスするようになりました。